Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

TrendMicro bestimmte exe sperren

Frage Sicherheit Erkennung und -Abwehr

Mitglied: smartino

smartino (Level 1) - Jetzt verbinden

26.08.2014 um 18:41 Uhr, 1765 Aufrufe, 11 Kommentare

Hallo zusammen,

TrendMicro hat ein schönes Feature, daß man unter Verhaltensüberwachung bestimmte Programme für die Ausführung sperren kann. Das funktioniert insofern ganz prima, sobald die zu sperrende exe kein Leerzeichen im Namen hat. Man kann solch eine exe - zum Beispiel Move Mouse.exe - erst gar nicht in die zu sperren Liste eintragen. Das Leerzeichen wird sodann sofort entfernt und die Regel ist wirkungslos.

Gibt es also eine Möglichkeit, daß ich TrendMicro an dieser Stelle ein Leerzeichen beibringen kann?

Grüße, Thomas

Mitglied: gemini
26.08.2014 um 18:47 Uhr
Hallo Thomas,

hast du schon mal versucht, den Eintrag in "Anführungszeichen" zu setzen?

Ist schon ne Weile her dass ich mit TrendMicro (WFBS) zu tun hatte. Aber von damals sind mir noch ganz gute Erfahrungen mit dem TM-Support in Erinnerung.

Gruß,
gemini
Bitte warten ..
Mitglied: Dobby
26.08.2014 um 19:03 Uhr
Hallo,

man kann zusätzlich auch noch versuchen die Move Mouse.exe in die Liste der zu sperrenden
Dienste zu installieren, eventuell bringt das ja auch etwas.

Gruß
Dobby
Bitte warten ..
Mitglied: Snowman25
27.08.2014 um 10:05 Uhr
Hallo Thomas,

und sobald die "Move Mouse.exe" zu "Move Mouse2.exe" umbenannt wird, kann sie wieder verwendet werden.
Dieser "Schutz" ist noch schlechter als der von MAC-Adressfilterung.

Besser wäre, du könntest die Anwendung über einen Hash sperren oder durch andere Maßnahmen deinen Mitarbeitern verbieten, die Move Mouse.exe zum Untergraben der automatischen Sperrung zu verwenden. Zum Beispiel arbeitsrechtliche Maßnahmen durch Umgehung der mandatorischen Schutzeinrichtungen.

Gruß,
Snowman25
Bitte warten ..
Mitglied: smartino
27.08.2014 um 10:21 Uhr
Dienste sperren per GPO? Habe ich probiert. Funktioniert leider nicht. Dienst in TrendMicro zu sperren habe ich nicht gefunden.

Grüße, Thomas
Bitte warten ..
Mitglied: smartino
27.08.2014 um 10:25 Uhr
Jep, Hash sperren wäre am besten. Dazu gibt es ja den Aplocker. Dummerweise braucht man dafür auf Clientseite Windows Enterprise. Versucht, daß Problem organisatorisch bzw. per Anweisung zu lösen haben wir schon aber mit Anweisungen ist das eben immer so eine Sache. Bei manchen klappt, bei manchen nicht. Technische Lösung wäre mir daher lieber.

Einfaches Umbenennen; ja - ein einfaches Dateisperren kann das mit sich bringen. Aber es würde dennoch bei sehr vielen wirken.

Grüße, Thomas
Bitte warten ..
Mitglied: smartino
27.08.2014 um 10:27 Uhr
Anführungszeichen sind in TM leider verbotene Zeichen. Den Support werde ich mal kontaktieren; weil es ist ja schon merkwürdig, daß es nicht gehen soll, exen mit Leerzeichen nicht zu sperren. So selten kommt das doch nicht vor.

Grüße, Thomas
Bitte warten ..
Mitglied: Snowman25
27.08.2014 um 10:29 Uhr
Zitat von smartino:

[...] Problem organisatorisch bzw. per Anweisung zu lösen haben wir schon aber mit Anweisungen ist
das eben immer so eine Sache. Bei manchen klappt, bei manchen nicht.
Natürlich muss man die Androhung dann auch durchziehen bzw. dem Vorgesetzten melden. Soll heißen: MItarbeiter von hoher Stelle verwarnen, etc.
Bitte warten ..
Mitglied: Snowman25
27.08.2014 um 10:30 Uhr
Zitat von smartino:

Anführungszeichen sind in TM leider verbotene Zeichen. Den Support werde ich mal kontaktieren; weil es ist ja schon
merkwürdig, daß es nicht gehen soll, exen mit Leerzeichen nicht zu sperren. So selten kommt das doch nicht vor.

Laut TrendMicro-Doku musst du spaces als \s schreiben.
Bitte warten ..
Mitglied: smartino
27.08.2014 um 11:58 Uhr
also beispielsweise C:\move\smouse.exe?

Hmm, sieht merkwürdig aus aber ich probiers mal.
Bitte warten ..
Mitglied: smartino
27.08.2014 um 12:00 Uhr
ja, kann man alles machen; ist aber dennoch viel zu aufwendig, jedem hinterherzurennen und auf Einhaltung zu pochen und gibt nach meiner Erfahrung nur Ärger. Technische Lösungen für Restriktionen sind letztendlich viel einfacher durchzusetzen.
Bitte warten ..
Mitglied: smartino
27.08.2014 um 12:02 Uhr
habs probiert - funktioniert so nicht. Exe läßt sich nach wie vor aufrufen.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Snmpwalk.exe unter Windows10 nicht lauffähig (5)

Frage von KayJay zum Thema Batch & Shell ...

Drucker und Scanner
gelöst Den öffentlichen Benutzer eines Druckers auf der Weboberfläche sperren (2)

Frage von SnvRCalle zum Thema Drucker und Scanner ...

Router & Routing
AVM Fritz LTE Router - Seiten sperren (7)

Frage von HansB3rt zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
gelöst Festplattenverschlüsselung im Ausland (13)

Frage von Nicolaas zum Thema Verschlüsselung & Zertifikate ...

Festplatten, SSD, Raid
gelöst Fehlerhafte Blöcke im RAID 10 (12)

Frage von Kojak-LE zum Thema Festplatten, SSD, Raid ...

Windows Server
gelöst Microsoft-Lizenz CALs und passendes Server-Betriebssystem (12)

Frage von planetIT2016 zum Thema Windows Server ...

Netzwerkgrundlagen
gelöst Cisco SG500 Series LAG hat sich von selbst umgestellt (11)

Frage von Ex0r2k16 zum Thema Netzwerkgrundlagen ...